wireshark抓包分.pdf

《wireshark抓包分.pdf》由会员分享，可在线阅读，更多相关《wireshark抓包分.pdf（8页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、用 wireshark 分析 Http 和 Dns 报文一、http 请求报文和响应报文wireshark 所抓的一个含有http 请求报文的帧：1、帧的解释链路层 的信息上是以帧的形式进行传输的，帧封装了 应用层、传输层、网络层 的数据。而 wireshark 抓到的就是链路层的一帧。图中解释：Frame 18：所抓帧的序号是11，大小是 409 字节Ethernet：以太网，有线局域网技术，属链路层Inernet Protocol：即 IP协议，也称网际协议，属网络层Transmisson Control Protocol：即 TCP 协议，也称传输控制协议。属传输层Hypertext t

2、ransfer protocol：即 http 协议，也称超文本传输协议。属应用层图形下面的数据是对上面数据的16 进制表示。2、分析上图中的http 请求报文报文分析：请求行：GET/img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/URL 字段/http 协议的版本我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。首部行：Accept:*/*Referer:http:/ 语言中文Accept-Encoding:gzip,deflate 可接受编码，文件格式User-Agent:Mozilla/4.0(c

3、ompatible;MSIE 6.0;Window s NT 5.1;SV1;CIBA;.NET CLR 2.0.50727;.NET CLR 1.1.4322;.NET CLR 3.0.04506.30;360SE)用户代理，浏览器的类型是 Netscape 浏览器；括号内是相关解释Host:目标所在的主机Connection:Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http 请求报文中所特有的首部字段名，比如下面http 请求报文中橙黄色首部字段名：Accept:*/*Referer:http:/ html 文件网址Accept-Language:zh-cn 语言中

4、文Accept-Encoding:gzip,deflate 可接受编码，文件格式If-Modified-Since:Sat,13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间If-None-Match:9a4041-197-2f11e280 关于资 源的任何 属 性（ETags 值）在 ETags 的值中可以体现，是否改变User-Agent:Mozilla/4.0(compatible;MSIE 6.0;Windows NT 5.1;SV1;CIBA;.NET CLR 2.0.50727;.NET CLR 1.1.4322;.NET CLR 3.0.04506

5、.30;360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection:Keep-Alive 激活连接Cookie:cdb_sid=0Ocz4H;cdb_oldtopics=D345413D;cdb_visitedfid=17;_gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1A cookie，允许站点跟踪用户，coolie ID是 7ab350574834b14b 3、分析 http 的响应报文，针对上面请求报文的响应报文如下：wire

6、shark 对于 2 中 http 请求报文的响应报文：展开 http 响应报文：报文分析：状态行：HTTP/1.0 200 OK 首部行：Content-Length:159 内容长度Accept-Ranges:bytes 接受范围Server:nginx 服务器X-Cache:MISS from 经过了缓存服务器Via:80(squid/2.6.STABLE14-20070808)路由响应信息Date:Fri,22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type:image/gif 内容类型图像Expires:Fri,22 Oct 2010 12:1

7、0:19 GMT 设置内容过期时间Last-Modified:Fri,11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。Age:34 缓存有效34 天Powered-By-ChinaCache:HIT from USA-SJ-1-3D3 ChinaCache是一家领先的内容分发网络（CDN）在中国的服务提供商。Connection:keep-alive 保持 TCP 连接图中最后一行compuserve

8、GIF 是对所传图像的信息的描述GIF 是 compuserve公司开发的图像格式标准。二、DNS 查询报文和回答报文1、Wireshark 所抓的 DNS 查询报文：该查询报文是查询 的 IP 地址，使用的传输层协议是 UDP协议。展开 DNS 查询报文：报文分析：首部区域：标识符：Transaction ID:0 x4b48 16 位比特数，标志该查询标志：Flags：0 x0100（standard query）0 .=Respone：Messsage is a query 0 表示为 dns 查询报文.000 0 .=opcode：standard query(0)操作码为标准查询.0

9、.=Truncated：message is not truncated 信息没有被截断.1.=Recursion desired：Do query recursively 执行递归查询.0.=z：reserved（0）.0.=Nontheticated data：unacceptable 问题数：Question:1 只查询一个主机名回答 RR数：Answer RRS:0 权威 RR数：Authority RRS:0 附加 RR数：Additional RRS:0 问题区域：问题（问题变量数）：:type A,class IN 查询一个主机 回答（资源记录的变量数）：Name： Type A

10、(Host address)class：IN(0 x0001)包含最初请求的名字的资源记录权威（资源记录的变量数）：无附加信息：无2、Wireshark 对应的 DNS 回答报文：展开 DNS 回答报文：报文分析：首部区域：标识符：Transaction ID:0 x4b48 16 位比特数，与对应的查询报文标识符相同标志：Flags：0 x8180（standard query）问题数：Question:1 表示只查询一个主机回答 RR数：Answer RRS:5 表示该主机对应的有5 条资源记录权威 RR数：Authority RRS:0 附加 RR数：Additional RRS:0 问题区域：问题（问题变量数）：:type A,class IN Name： Type A(Host address)class：IN(0 x0001)最初请求的名字的资源记录回答（资源记录的变量数）：Answers5 条 RR,即主机与 ip 的 5 条资源记录权威（资源记录的变量数）：无附加信息：无